Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보Win32/Trojan.ROKRAT.565760
작성일 2017-12-08 조회 1390

 

최근 북한의 핵 문제 등 북한의 이슈에 전세계가 주목하고 있는 가운데, 북한과 관련된 내용이 들어 있는 악성 문서들이 많이 발견되고 있다. ROKRAT 역시 북한과 관련된 내용의 아래한글 문서를 통해 유포되고 있는 것이 발견 되었다.

 

이 문서는 북한 인권 및 한반도 통일을 위한 “시민” 연대를 대표하는 변호사가 작성한 문서로 위장하고 있으며 해당 문서는 ROKRAT 버전을 드롭하고 실행한다.

 

[HWP파일] 악성 HWP 파일

행위: Dropper
파일 이름: 북한 인권과 통일을 위한 시민 연합.hwp
SHA256
: 171e26822421f7ed2e34cc092eaeba8a504b5d576c7fd54aa6975c2e2db0f824

 

해당 파일에는 BIN0001.OLE 객체가 들어 있으며, 해당 객체 압축(zlib)을 풀면 다음과 같은 스크립트가 생성 된다.



[그림1] BIN0001.OLE 정보

 


[그림2] 디코딩된 스크립트

 

해당 스크립트의 목적은 base64 알고리즘을 사용하여 strEncode 변수의 내용을 디코딩 하는 것이다. 디코딩된 데이터는 c:ProgramDataHncModuleUpdate.exe에 저장되어 실행된다. 바이너리는 ROKRAT 드로퍼 파일이다. 우리는 여기에서 공격자가 파일 이름을 HncModuleUpdate 로 사용하는 것을 통해 해당 파일이 정상적인 파일이라고 속이기 위함임을 확인 할 수 있다.

 

[드로퍼 파일] ROKRAT Dropper

행위: Trojan
SHA256: a29b07a6fe5d7ce3147dd7ef1d7d18df16e347f37282c43139d53cce25ae7037

 

드롭퍼 파일의 목적은 SBS라는 리소스를 추출하는 것이다.


[그림3] SBS 리소스 정보

 

SBS 리소스에는 악의적인 쉘코드가 들어 있으며, 드로퍼는 새로운 cmd.exe 프로세스를 실행하고 추출된 리소스를 주입시켜 실행하게 된다. 실행 시 쉘 코드는 PE 파일을 디코딩하게 되고, cmd.exe의 메모리에 로드 후 최종적으로 악성 ROKRAT 파일을 실행 하게 된다.

 

[malware] ROKRAT

행위: Trojan
SHA256: b3de3f9309b2f320738772353eb724a0782a1fc2c912483c036c303389307e2e

 

드롭퍼에 의해 실행되는 ROKRAT 악성코드는 다음과 같은 특징이 존재한다.

 

1) “Evil New Years” 악성 문서와 비슷함

- 아래 레지스트리 키를 사용하여 시스템 유형을 가져 옴

    HKLMSystemCurrentControlSetServicesmssmbiosDataSMBiosData

- PDB 경로의 유사점

  * Evil New Years PDB

   e:HappyWorkSourceversion 12T+MResultDocPrint.pdb

  * ROKRAT PDB

   d:HighSchoolversion 132ndBDT+MT+MResultDocPrint.pdb

2) Anti-Sandbox

3) Anti-Debug

4) 스크린샷을 수행

 

[방지 방안]

1) 신뢰하지 못하는 메일의 첨부파일을 다운로드 하지 않는다

2) 메일 첨부파일에 존재하는 js, exe, HTA, VBS, jse, JAR 등 의심스러운 파일의 확장자는 실행하지 않는다.

3) 당사 IPS장비에서는 아래 패턴으로 대응이 가능하다.

   [3905] Win32/Trojan.ROKRAT.565760

 


[그림4] 
Dropper APTX Detect

 


[그림5] ROKRAT Trojan APTX Detect

 

Source

http://blog.talosintelligence.com/2017/11/ROKRAT-Reloaded.html

첨부파일 첨부파일이 없습니다.
태그 ROKRAT